●
چکیده نیاز روزافزون به استفاده از فناوریهای نوین در عرصه اطلاعات و ارتباطات، ضرورت استقرار یک نظام مدیریت امنیت اطلاعات را بیش از پیش آشکار مینماید . در این مقاله ضمن اشاره به برخی از ویژگیهای این نظام مدیریتی به معرفی استاندارد بینالمللی موجود در این زمینه و نحوه رویکرد مناسب به آن اشاره شده است . در خاتمه نیز برخی از مزایای استقرار یک نظام مدیریت امنیت اطلاعات را برشمردهایم . ● مقدمه امروزه شاهد بکارگیری تجهیزات الکترونیک و روشهای مجازی در بخش عمدهای از فعالیتهای روزمره همچون ارائه خدمات مدیریت و نظارت و اطلاعرسانی هستیم . فضایی که چنین فعالیتهایی در آن صورت میپذیرد با عنوان فضای تبادل اطلاعات شناخته میشود. فضای مذکور همواره در معرض تهدیدهای الکترونیک یا آسیبهای فیزیکی از قبیل جرایم سازمان یافته بهمنظور ایجاد تغییر در محتوا یا جریان انتقال اطلاعات ، تخریب بانکهای اطلاعاتی، اختلال در ارائه خدمات اطلاعرسانی یا نظارتی و نقض حقوق مالکیت معنوی است. از طرف دیگر با رشد و توسعه فزاینده فناوری اطلاعات و گسترش شبکههای ارتباطی، آسیبپذیری فضای تبادل اطلاعات افزایش یافته است و روشهای اعمال تهدیدهای یادشده گستردهتر و پیچیدهتر میشود . از اینرو حفظ ایمنی فضای تبادل اطلاعات از جمله مهمترین اهداف توسعه فناوری اطلاعاتی و ارتباطی محسوب میشود. بهموازات تمهیدات فنی اعمال شده لازم است در قوانین و سیاستهای جاری متناسب با جایگاه نوین فضای تبادل اطلاعات در امور مدیریتی و اطلاعرسانی تجدید نظر شده و فرهنگ صحیح بکارگیری امکانات یادشده نیز در سطح جامعه ترویج شود . بدیهی است که توجه نکردن به تامین امنیت فضای تبادل اطلاعات و برخورد نادرست با این مقوله مانع از گسترش فضای مذکور در میان آحاد جامعه و جلب اعتماد مدیران در بکارگیری روشهای نوین نظارتی و اطلاعرسانی خواهد شد . ایجاد یک نظام منسجم در سطح ملی با لحاظ کردن ویژگیهای خاص فضای تبادل اطلاعات و مقوله امنیت در این فضا یک ضرورت است. برخی از این ویژگیها بهقرار زیر است: ▪ امنیت فضای تبادل اطلاعات مفهومی کلان و مبتنی بر حوزههای مختلف دانش است . ▪ امنیت با توجه به هزینه و کارایی تعریف میشود و مقولهای نسبی است . ▪ امنیت متأثر از مجموعه آداب، سنن و اخلاقیات حاکم بر جامعه است . ▪ امنیت در فضای تبادل اطلاعات از روند تغییرات سریع فناوریهای مرتبط تأثیرپذیر است . خوشبختانه در برنامه چهارم توسعه به این مهم توجه خاصی شده است، بهنحوی که ارائه سند راهبرد ملی امنیت فضای تبادل اطلاعات کشور تا پایان سال اول برنامه الزام شده است . همچنین در پیشنویس این سند پیشنهاد شده است که دستگاههای مجری طرحهای خود در انطباق با سند مذکور ارائه کنند . ● استاندارد BS۷۷۹۹/ISO۱۷۷۹۹ با توجه به اهمیت موضوع، آحاد جامعه بخصوص مدیران سازمانها باید همراستا با نظام ملی امنیت فضای تبادل اطلاعات به تدوین سیاست امنیتی متناسب با حوزه فعالیت خویش بپردازند. در حقیقت امروزه مدیران، مسئولیتی بیش از حفاظت دارند. آنها باید سیستمهای آسیبپذیر خود را بشناسند و روشهای استفاده نابجا از آنها را در سازمان خود تشخیص دهند. علاوهبرآن باید قادر به طرحریزی برنامههای بازیابی و جبران خسارت هم باشند. ایجاد یک نظام مدیریت امنیت اطلاعات در سازمانها باعث افزایش اعتماد مدیران در بکارگیری دستاوردهای نوین فناوری اطلاعات و برخورداری از مزایای انکارناپذیر آن در چنین سازمانهایی میشود. خوشبختانه قریب به یک دهه از ارائه یک ساختار امنیت اطلاعات، توسط مؤسسه استاندارد انگلیس میگذرد. در این مدت استاندارد فوقالذکر(BS۷۷۹۹) مورد بازنگری قرار گرفته و در سال ۲۰۰۰ میلادی نیز موسسه بینالمللی ISO اولین بخش آن را در قالب استاندارد ISO۱۷۷۹۹ ارائه کرده است. در سال ۲۰۰۲ نیز یک بازنگری در بخش دوم استانداردBS۷۷۹۹ بهمنظور ایجاد سازگاری با سایر استانداردهای مدیریتی نظیر ISO۹۰۰۱-۲۰۰۰ و ISO۱۴۰۰۱-۱۹۹۶ صورت پذیرفت. در حال حاضر نیز بازنگری به منظور انجام بهبود در بخشهای مربوط به پرسنل و خدمات تامینکنندگان و راحتی کاربری و مفاهیم مرتبط با امنیت برنامههای موبایل بر روی این استاندارد در حال انجام است که پیشبینی میشود در سال جاری میلادی ارائه شود. پیش از توضیح راجعبه استاندارد مذکور، لازم است شرایط تحقق امنیت اطلاعات تشریح شود. امنیت اطلاعات اصولاً در صورت رعایت سه خصیصه زیر تامین میشود : ▪ محرمانه بودن اطلاعات: یعنی اطمینان از اینکه اطلاعات میتوانند تنها در دسترس کسانی باشند که مجوز دارند. ▪ صحت اطلاعات: یعنی حفاظت از دقت و صحت اطلاعات و راههای مناسب پردازش آن اطلاعات. ▪ در دسترس بودن اطلاعات: اطمینان از اینکه کاربران مجاز در هر زمان که نیاز داشته باشند، امکان دسترسی به اطلاعات و تجهیزات وابسته به آنها را دارند. در این راستا امنیت اطلاعات از طریق اجرای مجموعهای از کنترلها که شامل سیاستها ، عملیات ، رویهها ، ساختارهای سازمانی و فعالیتهای نرمافزاری است، حاصل میشود. این کنترلها باید بهمنظور اطمینان از تحقق اهداف امنیتی مشخص هر سازمان برقرار شوند. استانداردBS۷۷۹۹/ISO۱۷۷۹۹ در دو قسمت منتشر شده است : ▪ ((ISO/IEC۱۷۷۹۹ part۱) یک نظامنامه عملی مدیریت امنیت اطلاعات است مبتنی بر نظام پیشنهادها و به منظور ارائه و ارزیابی زیرساختهای امنیت اطلاعات. ▪ (BS۷۷۹۹ part ۲) مشخصات و راهنمای استفاده مدیریت امنیت اطلاعات است که در حقیقت یک راهنمای ممیزی است که بر مبنای نیازمندیها استوار است. بخش اول مشخص کننده مفاهیم امنیت اطلاعاتی است که یک سازمان بایستی بکار گیرد، در حالیکه بخش دوم در برگیرنده مشخصه های راهبردی برای سازمان است. بخش اول شامل رهنمودها و توصیههایی است که ?? هدف امنیتی و ??? کنترل را در قالب ?? حوزه مدیریتی از سطوح مدیریتی تا اجرایی بهقرار زیر ارائه نموده است : ۱) سیاست امنیتی: دربرگیرنده راهنماییها و توصیههای مدیریتی بهمنظور افزایش امنیت اطلاعات است. این بخش در قالب یک سند سیاست امنیتی شامل مجموعهای از عبارات اجرایی در جهت پیشبرد اهداف امنیتی سازمان تنظیم میشود. ۲) امنیت سازمانی: این بعد اجرایی کردن مدیریت امنیت اطلاعات در سازمان از طریق ایجاد و مدیریت زیرساختهای امنیتی شامل: - کمیته مدیریت امنیت اطلاعات - متصدی امنیت سیستم اطلاعاتی - صدور مجوزهای لازم برای سیستمهای پردازش اطلاعات - بازنگری مستقل تاثیرات سیستمهای امنیتی - هدایت دسترسی تامینکنندگان به اطلاعات درون سازمان را دربرمی گیرد. ۳) طبقهبندی و کنترل داراییها: طبقهبندی داراییها و سرمایههای اطلاعاتی و پیشبرد انبارگردانی و محافظت مؤثر از این سرمایههای سازمان، حوزه سوم این بحث است. ۴) امنیت پرسنلی: تقلیل مخاطرات ناشی از خطای انسانی ، دستبرد ، حیله و استفاده نادرست از تجهیزات که به بخشهای زیر قابل تقسیم است : - کنترل پرسنل توسط یک سیاست سازمانی که با توجه به قوانین و فرهنگ حاکم برای ارزیابی برخورد پرسنل با داراییهای سازمان اتخاذ میشود. - مسئولیت پرسنل که باید برای ایشان بخوبی تشریح شود. - شرایط استخدام که در آن پرسنل باید بهوضوح از مسئولیتهای امنیتی خویش آگاه شوند. - تعلیمات که شامل آموزشهای پرسنل جدید و قدیمی سازمان در این زمینه میشود. ۵) امنیت فیزیکی و محیطی: محافظت در برابر تجاوز ، زوال یا از هم گسیختگی دادهها و تسهیلات مربوط که شامل بخشهای امنیت فیزیکی محیط ، کنترل دسترسیها ، امنیت مکان ، تجهیزات و نقل و انتقال داراییهای اطلاعاتی میشود . ۶) مدیریت ارتباطات و عملیات: کسب اطمینان از عملکرد مناسب و معتبر تجهیزات پردازش اطلاعات که شامل روشهای اجرایی، کنترل تغییرات ، مدیریت وقایع و حوادث، تفکیک وظایف و برنامهریزی ظرفیتهای سازمانی میشود. ۷) کنترل دسترسی: کنترل نحوه و سطوح دسترسی به اطلاعات که در شامل مدیریت کاربران ، مسئولیتهای کاربران، کنترل دسترسی به شبکه، کنترل دسترسی از راه دور و نمایش دسترسیهاست. ۸) توسعه و نگهداری سیستمها: اطمینان از اینکه امنیت جزء جدانشدنی سیستمهای اطلاعاتی شده است. این بخش شامل تعیین نیازمندیهای امنیت سیستمها و امنیت کاربردی، استانداردها و سیاستهای رمزنگاری، انسجام سیستمها و امنیت توسعه است. ۹) تداوم و انسجام کسب و کار: تقلیل تاثیرات وقفههای کسب و کار و محافظت فرایندهای اساسی سازمان از حوادث عمده و شکست. ۱۰) همراهی و التزام: اجتناب از هرگونه پیمانشکنی مجرمانه از قوانین مدنی ، قواعد و ضوابط قراردادی و سایر مسائل امنیتی بخش دوم استاندارد فراهم کننده شرایط مدیریت امنیت اطلاعات است. این بخش به قدمهای توسعه ، اجرا و نگهداری نظام مدیریت امنیت اطلاعات میپردازد. ارزیابی سازمانهای متقاضی اخذ گواهینامه از طریق این سند انجام میپذیرد.● نظام مدیریت امنیت اطلاعات نظام مدیریت امنیت اطلاعات ISMS ، در مجموع یک رویکرد نظاممند به مدیریت اطلاعات حساس بمنظور محافظت از آنهاست. امنیت اطلاعات چیزی فراتر از نصب یک دیواره آتش ساده یا عقد قرارداد با یک شرکت امنیتی است . در چنین رویکردی بسیار مهم است که فعالیتهای گوناگون امنیتی را با راهبردی مشترک بهمنظور تدارک یک سطح بهینه از حفاظت همراستا کنیم . نظام مدیریتی مذکور باید شامل روشهای ارزیابی، محافظت، مستندسازی و بازنگری باشد ، که این مراحل در قالب یک چرخه PDCA(PLAN-DO-CHECK-ACT) تحقق پذیر است. (چرخه یادشده نقش محوری در تشریح و تحقق استاندارد ISO۹۰۰۱ دارد. ) ▪ برنامه ریزی Plan : - تعریف چشمانداز نظام مدیریتی و سیاستهای امنیتی سازمان. - تعیین و ارزیابی مخاطرات. - انتخاب اهداف کنترل و آنچه سازمان را در مدیریت این مخاطرات یاری میکند. - آمادهسازی شرایط اجرایی. ▪ انجام Do: - تدوین و اجرای یک طرح برای تقلیل مخاطرات. - اجرای طرحهای کنترلی انتخابی برای تحقق اهداف کنترلی. ▪ ارزیابی Check : - استقرار روشهای نظارت و پایش. - هدایت بازنگریهای ادواری بهمنظور ارزیابی اثربخشی ISMS. - بازنگری درحد قابل قبول مخاطرات. - پیشبرد و هدایت ممیزیهای داخلی بهمنظور ارزیابی تحقق ISMS. ▪ بازانجام Act: - اجرای توصیههای ارائه شده برای بهبود. - نظام مدیریتی مذکور. - انجام اقدامات اصلاحی و پیشگیرانه. - ارزیابی اقدامات صورت پذیرفته در راستای بهبود. همانند نظامهای مدیریت کیفیت نظام مدیریت امنیت اطلاعات نیز در دو بخش فرایندها و محصولات مطرح است. بخش فرایندها بر طراحی و اجرای دستورالعملهای مدیریتی بهمنظور برقراری و حفظ امنیت اطلاعات استوار است و بخش محصولات یک نظام مدیریتی است که سازمان بهمنظور بکارگیری محصولات نرمافزاری معتبر در زیرساختهای فناوری اطلاعات خود برای برقراری و حفظ امنیت اطلاعات خویش از آن بهره میگیرد . چیزی که این دو بخش را به هم پیوند میدهد میزان انطباق با بخشهای استاندارد است که در یکی از چهار رده زیر قرار میگیرد : ▪ کلاس اول : حفاظت ناکافی ▪ کلاس دوم : حفاظت حداقل ▪ کلاس سوم : حفاظت قابل قبول ▪ کلاس چهارم : حفاظت کافی ● مراحل اجرای نظام مدیریت امنیت اطلاعات پیادهسازی ISMS در یک سازمان این مراحل را شامل میشود: ▪ آماده سازی اولیه : در این مرحله باید از همراهی مدیریت ارشد سازمان اطمینان حاصل شده، اعضای تیم راهانداز انتخاب شوند و آموزش ببینند . باید توجه شود که امنیت اطلاعات یک برنامه نیست بلکه یک فرایند است . ▪ تعریف نظام مدیریت امنیت اطلاعات: این مرحله شامل تعریف چشمانداز و چهارچوب نظام در سازمان است. لازم به ذکر است که چگونگی این تعریف از مهمترین عوامل موفقیت پروژه محسوب میشود . ▪ ایجاد سند سیاست امنیت اطلاعات : که پیشتر به آن اشاره شد . ▪ ارزیابی مخاطرات : باید به بررسی سرمایههایی که نیاز به محافظت دارند پرداخته و تهدیدهای موجود را شناخته و ارزیابی شود. در این مرحله باید میزان آسیبپذیری اطلاعات و سرمایههای فیزیکی مرتبط نیز مشخص شود . ▪ آموزش و آگاهیبخشی: به دلیل آسیبپذیری بسیار زیاد پرسنل در حلقه امنیت اطلاعات آموزش آنها از اهمیت بالایی برخوردار است . ▪ آمادگی برای ممیزی : باید از نحوه ارزیابی چهارچوب مدیریتی سازمان آگاه شد و آمادگی لازم برای انجام ممیزی را فراهم کرد. ▪ ممیزی : باید شرایط لازم برای اخذ گواهینامه در سازمان شناسایی شود . ▪ کنترل و بهبود مداوم : اثربخشی نظام مدیریتی پیاده شده باید مطابق مدل بهرسمیت شناخته شده کنترل و ارتقا یابد. در کلیه مراحل استقرار نظام مدیریت امنیت اطلاعات مستندسازی از اهمیت ویژهای برخوردار است. مستندات از یک طرف به تشریح سیاست ، اهداف و ارزیابی مخاطرات میپردازند و از طرف دیگر کنترل و بررسی و نظارت بر روند اجرای ISMS را بر عهده دارند . در کل میتوان مستندات را به چهار دسته تقسیم کرد: ۱) سیاست ، چشمانداز ، ارزیابی مخاطرات و قابلیت اجرای نظام مذکور که در مجموع بهعنوان نظامنامه امنیتی شناخته میشود . ۲) توصیف فرایندها که پاسخ سؤالات چه کسی ؟ چه چیزی ؟ چه موقع ؟ و در چه مکانی را می دهد و بهعنوان روشهای اجرایی شناخته میشوند . ۳) توصیف چگونگی اجرای وظایف و فعالیتهای مشخص شده که شامل دستورالعملهای کاری ، چک لیستها ، فرمها و نظایر آن میشود . ۴) مدارک و شواهد انطباق فعالیتها با الزامات ISMS که از آنها بهعنوان سوابق یاد میشود . ● نتیجه گیری هر چند بکارگیری نظام مدیریت امنیت اطلاعات و اخذ گواهینامه ISO۱۷۷۹۹ بتنهایی نشاندهنده برقراری امنیت کامل در یک سازمان نیست، اما استقرار این نظام مزایایی دارد که مهمترین آنها چنین است: - در سطح سازمانی استقرار نظام یادشده تضمینی برای التزام به اثربخشی تلاشهای امنیتی در همه سطوح و نمایشی از تلاشهای مدیران و کارکنان سازمان در این زمینه است. - در سطح قانونی، اخذ گواهینامه به اولیای امور ثابت میکند که سازمان تمامی قوانین و قواعد اجرایی در این زمینه را رعایت میکند. - در سطح اجرایی، استقرار این نظام باعث اطلاع دقیقتر از سیستمهای اطلاعاتی و ضعف و قوت آنها میشود . علاوهبر این چنین نظامی استفاده مطمئنتر از سختافزار و نرمافزار را تضمین میکند . - در سطح تجاری تلاشهای مؤثر سازمان به منظور حفاظت از اطلاعات در شرکا و مشتریان اطمینان خاطر بیشتری را فراهم میآورد. - در سطح مالی این اقدام باعث کاهش هزینههای مرتبط با مسائل امنیتی و کاهش احتمالی حق بیمههای مرتبط میشود . - در سطح پرسنلی، افزایش آگاهی ایشان از نتایج برقراری امنیت اطلاعات و مسئولیتهای آنها در مقابل سازمان از مزایای بکارگیری چنین نظامی است |
به نظر می
رسد سازمانهای مختلف با توجه به میزان اهمیت نقش اطلاعات موجود در آنها نیازمند
مدیریتی قوی در جهت حفظ امنیت این اطلاعات می باشند. امنیت اطلاعات به حفاظت از
اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها اشاره می کند . مفهوم سیستم
مدیریت امنیت اطلاعات ( ISMS ) عبارت است از : (( امنیت اطلاعات بخشی از سیستم
مدیریت کلی و سراسری در یک سازمان که بر پایه رویکرد مخاطرات کسب و کار قرار داشته
و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، باز بینی ، نگهداری و
بهبود امنیت اطلاعات است )). در این مقاله سعی شده تا ضمن معرفی سیستم مدیریت امنیت
اطلاعات ، انواع خطرهای تهدید کننده سیستم های اطلاعاتی را معرفی و راهکار مناسب
جهت حفظ امنیت اطلاعات هر سازمان را ارائه نمود . ● مقدمه هر سیستم برای ادامه ی حیات و زندگی خود نیازمند کسب اطلاعات گوناگون و همچنین حفاظت از اطلاعات و اسرار خود می باشد و مبحث کسب اخبار و اطلاعات از زمانهای قدیم مرسوم بوده و بعضا دستیابی یا نشر اطلاعات یک سیستم باعث نابودی آن سیستم گشته . امروزه با توجه به اینکه اطلاعات به عنوان یک ابزار تجاری و رقابتی و سرمایه ای سودآور مطرح گردیده بسیار ی از سازمانها به دنبال ایجاد سیستمهای امنیتی برای جلوگیری از درز اطلاعاتشان به بیرون می باشند تا بتوانند کل مجموعه خود را حفظ کنند در این راستا ایجاد یک سیستم امنیتی قوی می تواند برای حفظ امنیت اطلاعات هر سازمان موثر باشد سیستمی که بر اساس نیازهای سازمان و میزان اهمیت اطلاعات در آن طراحی شده باشد و حفاظی باشد جهت تامین سرمایه های اطلاعاتی . سیستم مدیریت امنیت اطلاعات ( ISMS )ابزاری مناسب است در جهت طراحی و کنترل امنیت اطلاعات. ● امنیت اطلاعات امنیت اطلاعات عبارت است از حفاظت اطلاعات و به حداقل رساندن دسترسی غیر مجاز به آنها (جعفری ، ۱:۱۳۸۷ ) همچنین علم مطالعه روشهای حفاظت از داده ها در رایانه ها و نظام های ارتباطی در برابر تغییرات غیر مجاز است (عبداللهی ،۱۳۷۵)امنیت اطلاعات حفاظت از محرمانگی ، تمامیت و دسترس پذیری اطلاعات است. علاوه بر این ها سایر ویژگی ها از قبیل اصالت ، قابلیت جوابگویی ، اعتبار ، انکار ناپذیری و قابلیت اطمینان اطلاعات نیز می توانند مشمول این حفاظت باشند. ● مدیریت امنیت اطلاعات مدیریت امنیت اطلاعات بخشی از مدیریت اطلاعات است که وظیفه تعیین اهداف ، امنیت و بررسی موانع سر راه رسیدن به این اهداف و ارائه راهکارهای لازم را بر عهده دارد. (اسعدی شالی،۱:۱۳۸۴) ● سیستم مدیریت امنیت اطلاعات ((ISMS مفهوم سیستم مدیریت اطلاعات عبارت است از : بخشی از سیستم مدیریت کلی و سراسری در یک سازمان است که بر پایه ی رویکرد مخاطرات کسب و کار قرار داشته و هدف آن پایه گذاری ، پیاده سازی ، بهره برداری ، نظارت ، بازبینی ، نگهداری و بهبود امنیت اطلاعات است . سیستم مدیریت امنیت اطلاعات در مجموع یک رویکرد نظام مند به مدیریت اطلاعات حساس به منظور محافظت از آن هاست.امنیت اطلاعات چیزی فراتر از نصب یک دیواره ی آتش ساده یا عقد قرارداد با یک شرکت امنیتی است. در چنین رویکردی بسیار مهم است که فعالیت های گوناگون امنیتی را با راهبردی مشترک به منظور تدارک یک سطح بهینه از حفاظت همراستا کنیم. (پورمند ،۴:۱۳۸۷ ) ● خطرهای تهدید کننده ی سیستم اطلاعاتی خطرهای تهدید کننده ی امنیت اطلاعات به دو دسته ی عمدی و غیر عمدی تقسیم می شوند ، خطرهای عمدی خطرهایی هستند که امنیت اطلاعات سیستم را با برنامه ی قبلی و هدفی خاص مورد حمله قرار می دهند مثل خطر هکرها و خطرهای غیرعمدی خطرهایی هستند که بر اثر اشتباهات انسان و نیروی کار به سیستم وارد می شود که این نوع خطر بیشترین میزان خسارات را به سیستم اطلاعاتی وارد می کنند همچنین خطرهای ناشی از عوامل طبیعی مثل سیل ،زلزله،طوفان و... جزء تهدیدات غیر عمدی به حساب می آید . برای اینکه در سیستم ها بتوانیم خطرهای موجود را رفع کنیم قبل از هر چیز باید به فکر ایجاد امنیت شبکه های اطلاعاتی خود باشیم این ایجاد امنیت ابتدا باید شامل اتخاذ سیاست های امنیتی باشد.مواردی که یک سازمان برای پیاده سازی یک سیستم امنیتی اعمال می کند به شرح زیر می باشد : ۱) تعیین سیاست امنیتی ۲) اعمال سیاست های مناسب ۳) بررسی بلادرنگ وضعیت امنیت اطلاعاتی بعد از اعمال سیاست امنیتی ۴) بازرسی و تست امنیت شبکه ی اطلاعاتی ۵) بهبود روش های امنیت اطلاعاتی سازمان (دشتی ، ۱۵۹ :۱۳۸۴ ) ● مراحل اجرای سیستم مدیریت امنیت و اطلاعات (ISMS) اجرای (( ISMS در یک سازمان طبق مراحل ذیل صورت میپذیرد: ۱) آماده سازی ۲) تعریف نظم مدیریت امنیت اطلاعات ۳) ایجاد سند سیاست امنیت اطلاعات ۴) ارزیابی مخاطرات ۵) آموزش و آگاهی بخشی ۶)آمادگی برای ممیزی ۷) کنترل و بهبود مداوم ● شرایط لازم جهت طراحی سیستم امنیت اطلاعات ۱) اطمینان : از سلامت اطلاعات چه در زمان ذخیره و چه به هنگام بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده از اطلاعات هستند. ۲)دقت : اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشند و ایجاد امکاناتی در جهت افزایش این دقت ضرورت خواهد داشت. ۳) قابلیت دسترسی : اطلاعات برای افرادی که مجاز به استفاده از آن می باشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشند (اسعدی شالی ،۱۳۸۴) ● سیستم مدیریت امنیت اطلاعات در ایران متأسفانه تا کنون توجه چندانی به ISMS در ایران نشده است و هیچ سازمان و ارگانی از ایران موفق به کسب گواهینامه ی لازم جهت استاندارد امنیت اطلاعات نگردیده است حال اینکه کشور ما به لحاظ موقعیت خاص خود همیشه مورد هجوم و دستبردهای اطلاعاتی از طرق مختلف بوده که بعضا ضرباتی جبران ناپذیر را نیز متحمل گردیده . با توجه به این مسأله به نظر می آید لزوم استاندارد سازی در مبحث امنیت اطلاعات در کشور ما یک نیاز اساسی جهت حفظ محرمانگی و امنیت اطلاعات است. ● نتیجه گیری شاید استفاده از سیستم امنیت اطلاعات به نظر سخت آید اما به کارگیری آن لازم و ضروری است و هزینه هایی نیز دارد که در نگاه اول ممکن است این هزینه ها زیاد به نظر آید اما هزینه هایی هستند که فواید بیشتری دارند.استقرار این نظام باعث ایجاد حساسیت و کنترل بهتر جهت حفظ محرمانگی اسرار یک سیستم است و در آن نقش آموزش و برنامه ریزی کلان جهت نیروهای انسانی و جلوگیری از حوادث اطلاعاتی نقشی بسیار موثر است که به جز با حمایت مدیران یک مجموعه امکان پذیر نمی باشد. برای اینکه بتوانیم حمایت مدیران را جهت برقراری امنیت اطلاعات جلب کنیم بهتر است سیستمی مناسب را ارایه نماییم تا حمایت آنان را برای تقویت امنیت اطلاعات به دست آوریم و در این راستا ( ISMS ) یک سیستم مناسب و استاندارد برای این امر می باشد . |
پروژه های
برنامه ریزی فناوری اطلاعات، در مدت نسبتاً کوتاهی که از سابقه تعریف و اجرای آنها
در کشور می گذرد، اغلب با مشکلات و چالشهایی روبرو هستند. برخی از چالشها ناشی از
عوامل محیطی و پاره ای ناشی از ضعف عوامل اجرایی این پروژه هاست. در این مقاله، که برمبنای تجارب نگارنده در اجرای پروژه های برنامه ریزی فناوری اطلاعات در سازمانهای دولتی و خصوصی کشور، و با جمع بندی تجارب حاصل از اجرای این پروژه ها تهیه شده است، ابتدا معیارهای مــــوفقیت پروژه های برنامه ریزی فناوری اطلاعات برشمرده می شود، و سپس مهمترین چالشهای فراروی مجریان اینگونه پروژه ها تشـــــریح می گردد. در پایان نیز توصیه هایی برای مقابله با این مخاطرات و کاهش اثرات آنها ذکر می شود. ● زمینه با روند روزافزون توسعه فناوری اطلاعات درکشور ما، در سطــــح ملی و سازمانی که به افزایش سرمایه گذاری در توسعه زیرساختها و کاربردهای فنــــاوری اطلاعات در هر دو سطح منجــر شده است، تمایل فزاینده ای برای تعریف و اجرای پروژه های برنامه ریزی فناوری اطلاعـــــــات در سازمانها و موسسات دولتی وخصوصی کشور پدید آمده است. اینگونه پـــروژه ها که طیف نسبتاً وسیعی از برنامه ریزی سیستم های اطلاعاتی (ISP) تا تهیه طرحهای جامع و تدوین معماری سازمانی فناوری اطلاعات را دربرمی گیرند، سابقه طولانی درکشور ما ندارند و در مقــــایسه با پروژه های متعارف توسعه نرم افزار یا ایجاد زیرساخت، نسبتاً جدیدتر به شمار می روند. به همین نسبت نیز مشکلات بیشتری در تعریف، واگذاری، اجرا و پذیرش نتایج این پروژه ها در سازمانهای مختلف مشاهده می شود. بدبینی عمومی نسبت به پروژه های مشـــاوره ای و برنامه ریزی درکشور، که به این گونه پروژه ها عمدتاً به چشم فعالیتهای پرطمطراق «گزارش ساز» می نگرد، از یکسو، و عدم کفایت و صلاحیت برخی از مشاورانی که به انجام این پروژه ها مبادرت می ورزند، ازســـوی دیگر، نرخ موفقیت پروژه های برنامه ریزی فناوری اطلاعات را به شدت پایین آورده است. از این رو، شناسایی و تحلیل مخاطرات و مشکلات فراروی پروژه های برنامه ریزی فناوری اطلاعات هم برای مجریان و هم برای کارفرمایانی که قصد تعریف چنین پروژه هایی را دارند، بسیار ضروری است. بــــــرای آسیب شناسی پروژه های برنامه ریزی فناوری اطلاعات اصولاً دو رهیافت وجود دارد: اول رهیافت مطالعه تطبیقی مبتنی بر مطالعه میدانی پروژه های انجام شده و جمع بندی تجارب حاصل از آنها، و دوم مطالعه تحلیلی پروژه های انجام شده توسط هر مشاور برای درس گیری از تجارب موفق یا ناموفق. هرچند جای مطالعه ای از نوع اول در شرایط کنونی کشور ما خالی است(۱). اما دشواریهای طبیعی انجام چنین مطالعاتی ضرورت انتشار نتایج مطالعات نوع دوم را از سوی مجریان پروژه های برنامه ریزی فناوری اطلاعات آشکار می سازد. ● معیارهای موفقیت پیش از بررسی عوامل شکست پروژه های برنامه ریزی فناوری اطلاعات، باید ابتدا تعریفی از مـــوفقیت یا شکست این پروژه ها به دست دهیم. دیدگاههای سنتی درمورد موفقیت پروژه ها، بر سه عامل زمان، هزینه و کیفیت تاکید دارند. مطابق این تعریف، پروژه موفق پروژه ای است که در زمان تعیین شده و با هزینه پیش بینی شده به انجام رسیده و انتظارات اولیه از انجام پروژه را نیز برآورده سازد. در یک تقسیم بندی دیگر، پروژه های فناوری اطلاعات را می توان به سه دسته تقسیم کرد: الف) پروژه های موفق: پروژه هایی که در زمان تعیین شده، با هزینه پیش بینی شده و با کیفیت موردانتظار به اتمام می رسند؛ ب) پروژه های مشکل دار: پروژه هایی که به اتمام می رسند، اما ازنظر زمان، هزینه، کیفیت و یا هر سه جنبه با پیش بینی های اولیه تفاوت دارند؛ ج) پروژه های شکست خورده: پروژه هایی که هرگز به انتها نمی رسند. در دیدگاههای جدیدتر مدیریت پروژه، عــامل دیگری نیز به عنوان معیار موفقیت پروژه ها مطرح می شود، و آن میزان اثربخشی پروژه در درازمدت است. از دید برخی از صاحبنظران، ارزیابی موفقیت یا شکست یک پروژه تنها پس از گذشت زمانی بین ۳ تا ۵ سال پس از پایان پروژه ممکن می شود (۲). به عنوان مثال، موفقیت یک پروژه پل سازی در شهر، در افق کوتاه مدت تنها باتوجه به زمان، هزینه و دستیابی به مشخصات فیزیکی و ملموس پل ساخته شده قابل ارزیابی است، اما در درازمدت اثر این پروژه در اهداف کلان تری مانند روانسازی ترافیک شهر و... باید موردتوجه قرارگیرد. درمورد پروژه های برنامه ریزی فناوری اطلاعات که هدف از اجرای آنها، ایجاد تحول در سازمانها و ارتقای بهره وری و کیفیت خدمات نهایی است، این معیار باید با شدت بیشتــری موردتوجه قرارگیرد. هیچ پروژه برنامه ریزی فناوری اطلاعات برای نفس نتایج خود پروژه انجام نمی شود، بلکه معمولاً اینگونه پروژه ها در آغاز فرایندی از توسعه مستمر و برنامه ای زیرساختها و کاربردهای فناوری اطلاعات در سازمان تعریف می شوند که باید در درازمدت به ایجاد تحول سازمانی، کاهش هزینه ها، سرعت انجام فرایندها یا تنوع خدمات سازمان بینجامد. از این منظر می توان پروژه ای را موفق دانست که علاوه بر اجرا در زمان و با هزینه پیش بینی شده، به تولید خروجیهای توافق شده از قبل بینجــامد، و در درازمدت نیز فرایند توسعه ای مستمری در زمینه فناوری اطلاعات را در سازمان ایجاد کند. ● چالشها چالشهای فراروی پروژه های برنامه ریزی فناوری اطلاعات را در یک دید کلی می توان به سه دسته زیر تقسیم کرد: مشکلات ناشی از محیط تعریف و اجرای پروژه؛ مشکلات ناشی از روش (متدولوژی) پروژه؛ مشکلات ناشی از نحوه اجرای پروژه. هرچند از این سه دسته مشکل، تنها مشکلات دسته ۲ و ۳ مستقیماً به مجری پروژه مربوط می شود و مهار مشکلات ناشی از محیط، معمولاً خارج از کنترل تیم اجرایی است، با وجود این، شناخت و تحلیل این مشکلات، توانایی مجری را درکاهش اثرات ریسک های ناشی از این گونه مشکلات افزایش می دهد. ● مشکلات ناشی از محیط ▪ ابهام در استراتژی های سازمانـــی: یکی از اصلی ترین اهداف برنامه ریزی فناوری اطلاعات در سازمانها، همسوسازی فناوری اطلاعات با استراتژی های سازمانی است. در دهه ۱۹۹۰ بروز آنچه به «پــــــــارادکس بهره وری»(۳) شهرت یافت، موضوع همسوسازی استراتژیک را به پارادایم غالب برنامه ریزی فناوری اطلاعات تبدیل کرد، به گونه ای که امروزه در همه روشهای بـــــرنامه ریزی فناوری اطلاعات شناخت جهت گیریهای استراتژیک سازمان و عناصر برنامه استراتژیک آن، اولین گام در فرایند بــرنامه ریزی فناوری اطلاعات به شمــــار می رود. در سازمانهای دولتی و خصوصی کشور ما، عدم وجود فرهنگ و تفکر استراتژیک، که خود ناشی از رقابتی نبودن فضای کسب و کار در کشور است، وضعیتی را پدید آورده که در آن، وجود سازمانهای دارای برنامه استراتژیک مدون و توافق شده، استثناست نه قاعده. اقدام به اجرای پروژه های برنامه ریزی فناوری اطلاعات در سازمانهایی که هیچیک از عناصر جهت گیری استراتژیک سازمانی (ماموریت، چشم انداز، اهداف، استراتژی ها، سیاستها، عوامل عمده موفقیت، شاخصهای کارایی و...) مشخص و مدون نیست، مجریان را ناگزیر به اتخاذ یکی از این روشها می کند: - مجری در مراحل آغازین پروژه، به جای جمع آوری و دریافت نتایج برنامه ریزی استراتژیک سازمانی، خود اقدام به تحلیل و برنامه ریزی استراتــژیک سازمانی (ولو به شکل محدود) می کند. در این صورت ضمن انحراف منابع و زمان پروژه، توجه مجریان از دنبال کردن فرایند برنامه ریزی فناوری اطلاعات به تحلیل استراتژیک سازمانی منحرف می شود. - مجری بدون شناسایی عناصر برنامه استراتژیک سازمانی، پروژه برنامه ریزی فنـــاوری اطلاعات را پیش می برد. درنتیجه هیچ تضمینی برای آنکه چنین پروژه هایی به تحقق همسوسازی استراتژیک بینجامد، وجود ندارد. در هر صورت، اهمیت وجود حداقلی از برنامه استراتژیک ســازمانی برای موفقیت پروژه های برنامه ریزی فناوری اطلاعات به حدی است که از آن به عنوان پیش نیاز اجرای این گونه پروژه ها یاد می شود (۴). نیازبه باز مهندسی فرایندها: اگر اثربخشی یک پروژه برنامه ریزی فناوری اطلاعات را در میزان تحولی بدانیم، که این پروژه در بهبود عملکرد نهایی سازمان دارد، باید اذعان کرد که انجام این گونه پروژه ها در سازمانهایی که فرایندهای سنتی انجام کار در آنها به طور اساسی نیاز به باز طرحی و بازمهندسی دارند، از پیش محکوم به شکست است. برنامه ریزی فناوری اطلاعات که با هدف بهینه سازی استفاده از فناوری اطلاعات دردستیابی سازمان به اهدافش انجام می شود، درصورتی که در چنین سازمانهایی اجرا شود، درنهایت ممکن است به مکانیزه شدن فرایندهایی منجر گردد که یا میزان ارتباط آنها با اهداف استراتژیک سازمان موردتردید است، و یا به دلیل اشکالات فراوان در گردش کار، عملاً مانع از دستیابی به سطح بالایی از بهره وری سازمانی می گردند. ▪ عدم مشارکت مدیران و کارکنان: باتوجه به ماهیت مشارکتی فرایند برنامه ریزی در سازمانها، یکی از بزرگترین چالشهای مجریان پروژه های برنامه ریزی فناوری اطلاعات جلب مشارکت فعال مدیران ارشد، مدیران میانی و سایر کارکنان سازمان در این پروژه هاست. نقش هریک از این سطوح سازمانی در فرایند برنامه ریزی فناوری اطلاعات تفاوت می کند و از تعیین جهت گیری استراتژیک تا ارائه اطلاعات لازم برای مدل سازی معماری موجود سازمان متغیر است، اما در هر صورت بدون میزان معینی از مشارکت هریک از سطوح ذکر شده، نمــــی توان به موفقیت پروژه های برنامه ریزی فناوری اطلاعات خوشبین بود. میــــزان مشارکت کارکنان در فرایند برنامه ریزی به عوامل متعددی از قبیل منشا تعریف پروژه، میزان حمایت رسمی مدیریت ارشد، اطلاع رسانی درمورد پروژه، طراحی سازوکارهای تشویقی و جبرانی برای مشارکت کارکنان و... وابسته است، اما در کشور ما به دلیل عوامل فرهنگی و اجتماعی متعددی که مانع از مشارکت جویی کارکنان در مدیریت و بویژه در پروژه های توسعه ای می گردد، سطح این مشارکتها بسیار پایین و جلب کارکنان به همکاری در این گونه پروژه ها بسیار دشوار است. ● مشکلات ناشی از روش ▪ تعریف محدوده و اهداف: یکی از مراحل ابتدایی هر پروژه برنامه ریزی فناوری اطلاعات که متاسفــانه درعمل اهمیت چندانی به آن داده نمی شود، روشن کردن محدوده و کسب یک بینش مشترک درباره اهداف پروژه، بین همه عوامل دست اندرکار آن است. دستیابی به این بینش مشترک ازسویی به مجریان پروژه کمک می کند تا درک درستی از گامها و اقدامات ضروری پروژه پیدا کنند و بین این اقدامات و اقداماتی که می توان بسته به مقتضیات پروژه از آنها چشم پوشی کرد، تمایز قائل شوند، و از سوی دیگر انتظارات مدیران و کارکنان سازمان را از نتایج واقعی پروژه تعدیل می کند. تجربه نشان داده است که به دلیل نوپابودن فرهنگ برنامه ریزی فناوری اطلاعات در کشور ما، اغلب کارفرمایان چنین پروژه هایی دید درستی از نتایج موردانتظار نداشته و پروژه های برنامه ریزی فناوری اطلاعات را با تهیه سیستم جامع اطلاعاتی (MIS) و به طور خلاصه رفع همــــه مشکلات انفورماتیک سازمان یکی می دانند. چنین انتظاراتی در مرحله اجرا و پس از پایان پروژه، مجریان را با انبوهی از نیازها و توقعات غیرمعقول روبرو می سازد که درصورت عدم کنترل می تواند بر ارزیابی نتایج پروژه، اثرات منفی جدی به جای نهد. ▪ تمرکز بر روش، به جای توجه به نتایج: یکی از دامهایـی که بر سر راه مجریان پروژه های برنامه ریزی فناوری اطلاعات وجود دارد، عطف توجه بیش از حد به متدولوژی پروژه به بهای غفلت از نتایج آن است. هرچند فرایند برنامه ریزی فناوری اطلاعات فرایندی است روشمند که متدولوژی های مختلفی برای انجام آن پیشنهاد شده است، اما باید توجه داشت که همه این متدولوژی ها صرفاً الگوهای راهنمایی برای هدایت فرایند برنامه ریزی هستند؛ فرایندی که ذاتاً ماهیتی خلاق و پویا دارد و باید با توجه به مقتضیات محیطی خاص طراحی شود. به همین دلیل است که برخی از طراحان متدولوژی های برنامه ریزی فناوری اطلاعات که در سالهـــای اخیر رواج یافته اند، ترجیح می دهند روشهای پیشنهادی خود را در چارچوب بنامند، نه روش. تمرکز بر روش و غفلت از نتایج، در اکثر پروژه های برنامه ریزی فناوری اطلاعات، مجریان را به جمع آوری و تحلیل انبوهی از داده ها وامی دارد که در مراحل بعدی بخش عمده ای از آنها، مورداستفاده قرار نمی گیرند، یا در نتایج نهایی چندان تاثیری ندارند. همچنین عدم توجه به اولویت گذاری کاربردهای فناوری اطلاعات، که روشهای شناخته شده ای برای آن وجود دارد (۵)، مجریان را در مرحله برنامه ریزی اجرایی، با تعریف تعداد زیادی پروژه مواجه می کند که حجم زیاد منابع موردنیاز برای آنها، عاملی بازدارنده برای تصمیم مدیریت مبنی بر ادامه سرمایه گذاری در فناوری اطلاعات محسوب می شود.▪ تعداد مــــراحل: تعداد مراحل یک پروژه برنامه ریزی فناوری اطلاعات، به متدولوژی انتخاب شده بستگی دارد. به عنوان مثال، متدولوژی برنامه ریزی سیستم های تجاری (BUSINESS SYSTEM PLANNING=BSP) الگوی چهارمرحله ای استفاده می کرد (۶). در اکثر پروژه های اجرا شده برمبنای متدولوژی مهندسی اطلاعات (INFORMATION ENGINEERING=IE) پروژه از ۷ مرحله تشکیل شده است (۷). چارچوب معماری این گروپ (THE OPEN GROUP ARCHITECTURE FRAMWORK=TOGAF) چرخه ای مرکب از ۹ گام را پیشنهاد می کند (۸). با وجود این، بسته به مقتضیات پروژه می توان با ادغام یا تجزیه مراحل استاندارد، تعداد مراحل عملی هر پروژه را کم یا زیاد کرد. در انتخاب تعداد مراحل پروژه، در سازمانهایی که سطح مشارکت کارکنان در فرایند برنامه ریزی پایین است (مانند آنچه در اکثر سازمانهای کشور ما به چشم می خورد)، باید به این نکته توجه کرد که هرچه تعداد مراحل پروژه بیشتر باشد، نقاط تماس با مدیران و کارکنان سازمان (به منظور جمع آوری اطلاعات، تصحیح مدلها، صحه گذاری نتایج و...) افزایش می یابد، و به همین نسبت انرژی بیشتری باید برای جلب مشارکت کارکنان صرف شود. طولانی شدن زمان لازم برای اظهارنظر کارفرما درمورد گزارشهای هر مرحله، که اغلب در مرحله برنامه ریزی پروژه به درستی برآورد نمی شود، عامل مهمی در انحراف زمانی پروژه های برنامه ریزی فناوری اطلاعات از زمانبندی پیش بینی شده آنهاست. ▪ داده گرایی / فرایندگرایی:گذشته از تنوع روشهای مدل سازی که در پروژه ها به کار گرفته می شود، تقریباً همه روشهای شناخته شده برنامه ریـــــزی فناوری اطلاعات بر مدل سازی هر دو لایه عملیاتی و اطلاعاتی از معماری سازمان تاکید دارند. با وجود این، تاکید اصلی در هر روش متفاوت است. روشهای سنتی برنامه ریزی فناوری اطلاعات که بیشتر در زمینه برنامه ریزی سیستم های اطلاعاتی کاربرد داشته اند (مانند BSP وIE)، توجه اصلی خود را بر داده ها متمرکز می کنند و می کوشند از طریق ایجاد یک معماری اطلاعاتی یکپارچه، یکپارچگی و جامعیت سیستم های اطلاعاتی سازمان را تامین کنند. به همین دلیل، ماتریس های داده /فرایند که در این متدولوژی ها نقش اساسی در تعیین معماری سیستم های اطلاعاتی ایفا می کنند، معمولاً به طور مستقیم در طراحی و تفکیک بانک های اطلاعاتی سازمان درمراحل بعدی توسعه سیستم ها قابل استفاده است. در نقطه مقابل آن، رهیافتهای جدیدتر مبتنی بر خدمات سازمانی، به تحلیل داده ها تنها به عنوان مکملی برای مدل سازی فرایندها نگاه می کنند. انتخاب یکی از این دو دیدگاه، باتوجه به ماهیت کسب و کار و مدل کاری کلان سازمان، در ابتدای پروژه، اهمیت زیادی دارد. رهیافتهای داده گرا درمورد سازمانهایی که برمبنای ارائه خدمات یا انجام فرایندهای پیچیده و مرتبط شکل گرفته اند، معمولاً به شناسایی مجموعه ای از سیستم های اطلاعاتی یکپارچه می انجامد، بدون آنکه درعمل یکپارچگی عملیاتی مناسب را در سطح گردش کار روزمره سازمان، تامین کند. در مقابل رهیافتهای فرایندگرا در محیطهایی که کارکردهای تحلیلی و تصمیم گیری اولویت دارند، معمولاً از ایجاد یکپارچگی اطلاعاتی لازم برای پشتیبانی از روندهای تصمیم گیری کلان عاجزند. ● مشکلات ناشی از اجرا ▪ برنامه ریزی فرایند است، نه نتیجه: نکته ای که در اکثر پروژه های برنامه ریزی فناوری اطلاعات هم از سوی کارفرمایان، و هم از سوی مجریان، از آن غفلت می شود، ماهیت مستمر فرایند برنامه ریزی است. درواقع اجرای پروژه های برنامه ریزی فناوری اطلاعات را تنها باید به عنوان نقاط شروع این فرایند در سازمانها محسوب کرد. انجام این پروژه ها توسط مشاوران بیرونی، بیش از آنکه برای به سرانجام رساندن پروژه و تولید گزارشهای نهایی باشد، باید با هدف توانمندسازی ساختار داخلی سازمان برای ادامــــــه و استمرار فرایند برنامه ریزی صورت گیرد. عدم توجه به ماهیت فرایندی برنامه ریزی فناوری اطلاعات موجب می شود که مدیران از انجام نخستین پروژه برنامه ریزی فناوری اطلاعات، که دراکثر موارد پس از پایان پروژه به نحو موثری به استمرار فرایند برنامه ریزی منجر نمی شود، توقع تاثیر درازمدت در تصمیم گیریهای سازمانی درمورد فناوری اطلاعات داشته باشند. توقعی که معمولاً برآورده نخواهدشد. ▪ برآوردهای نادرست از زمان و هزینه پروژه: هرچند که زمان طبیعی برای انجام پروژه های برنامه ریزی فناوری اطلاعات بین ۶ تا ۹ ماه برآورد می شود، با وجود این، درکشور ما کمتر پروژه ای را می توان یافت که در این محدوده زمانی به نتیجه مطلوب رسیده باشد. یکی از دلایل عمده این امر، عدم تحلیل مخاطرات پروژه در ابتدای کار، یا عدم توجه کافی به برخی از ریسک های جدی مانند عدم مشارکت مدیران و کارکنان، یا تغییرات سازمانی است. تجربیات شخصــی نگارنده در اجرای پروژه های برنامه ریزی فناوری اطلاعات در سازمــانهای متعدد دولتی و خصوصی نشان می دهد که به طور متوسط ۳۰ تا ۴۰ درصد زمان واقعی پروژه صرف بررسی و اظهارنظر نتایج پروژه توسط نمایندگان کارفرما، و اصلاحات ناشی از این بررسیها می شود، درحالی که در برنامه ریزی پروژه این زمان چیزی در حدود ۵ تا ۱۰ درصد زمان کل پروژه برآورد می شود. ▪ ترکیب و تخصص تیم اجرایی: واقعیت آن است که اکثر شرکتهای مشاوره ای که در کشور ما اقدام به اجرای پروژه های برنامه ریزی فناوری اطلاعــات می کنند، در یکی از دو دسته زیر می گنجند: - شرکتهــــــــای با زمینه رایانه ای (اغلب نرم افزاری) که کارشناسان و تحلیلگران آنها معمولاً در رشته های مرتبط با نرم افزار تخصص و تجربه دارند. - شرکتهای مشاوره مدیریت که زمینه تخصصی کارشناسان آنها را رشته هایی مانند مدیریت، مهندسی صنایع، اقتصاد و رشته های مشابه تشکیل می دهد. درهریک از این دو صورت، غلبه یکی از دو دیدگاه مهندسی یا مدیریتی بر تیم اجرایی پروژه، می تواند توانایی این تیم را در تحلیل و مدل سازی همه لایه ها و ابعاد معماری فناوری اطلاعات را در سازمان هدف تضعیف کند. فرایند برنامه ریزی فناوری اطلاعات در یک سازمان فرایندی است پیچیده که به دانش نسبتاً بالایی در زمینه های متنوعی از مدیریت استراتژیک و مهندسی سیستم گرفته تا مهندسی نرم افزار و تخصصهای ارتباطات و شبکه نیاز دارد. فراهم آوردن ترکیب مناسبی از این تخصصها در تیم اجرایی پروژه، عامل مهمی در موفقیت پروژه است، که درعمل عدم تحقق آن به یکی از چالشهای جدی مدیران پروژه ها تبدیل می شود. ▪ ارتباط با پروژه های دردست اجرا: پروژه های برنامه ریزی فناوری اطلاعات معمولاً در سازمانهایی تعریف می شود که در سطوح مدیریتی آنها عزم مشخصی در زمینه توسعه فناوری اطلاعات در سازمان پدید آمده باشد، یا اینکه محرکهای بیرونی قــوی برای توسعه برنامه ای آن احساس شده باشد. در چنین مواردی، فشار برای ســـرمایه گذاری در پروژه های توسعه ای موازی در زمینه فناوری اطلاعات چندان غیرمعمول نیست. یکی از چالشهای اصلی تیم های اجرایی پروژه های برنامه ریزی فناوری اطلاعات در این سازمانها، چگونگی ارتباط فرایند و نتیجه پروژه، با دیگر پروژه های فناوری اطلاعات دردست اجراست. در چنین حالتهایی، از یکسو شمول نتایج پــروژه برنامه ریزی فناوری اطلاعات ایجاب می کند که پروژه های دیگر ازنظر تعریف و اجرا با این نتایج سازگار شوند، و از سوی دیگر، لزوم تسریع در اجرا و بهره برداری از پروژه های دیگر، فشار مضاعفی را برای تسریع در ارائه نتایج پروژه برنامه ریزی فناوری اطلاعات وارد می کند. درعمل بسیاری از مجریـــــان پروژه های برنامه ریزی ناگزیر می شوند پیش از پایان پروژه خود و نهایی شدن نتایج آن، در مقام مشاور برای تعریف و راهبری پروژه های دیگر ایفای نقش کنند. نقشی که خودبه خود در سمت گیری نتایج پروژه برنامه ریزی فناوری اطلاعات موثر است. ●● نتیجه گیری چالشهایی که برای پروژه های برنامه ریزی فناوری اطلاعات ذکر شد، تنها بخشی از مشکلاتـــی است که مجریان پروژه های برنامه ریزی فناوری اطلاعات در سازمانهای کشور ما با آنها روبرو هستند. رفع ریشه ای برخی از این مشکلات به زمان و فرهنگ سازی طولانی در محیطهای سازمانی و لایه های مدیریتی این سازمانها نیاز دارد، و یقیناً از توان یک مشاور به تنهایی خارج است. اما برخی از توصیه های عمومی را می توان به منظور کاهش مخاطرات ناشی از این عوامل، یا حداقل کاهش اثرات آنها به کار بست، که در اینجا به طور خلاصه به آنها اشاره می شود: ۱ - بر روی مشارکت کارکنان سرمایه گذاری کنید. تا می توانید، و از هر راه ممکن مشارکت مدیران و کارکنان کلیدی سازمان را در فرایند برنامه ریزی جلب کنید. نخستین گام برای جلب این مشارکت، اطلاع رسانی درمورد اهداف، دامنه، روش و الزامات اجرای پروژه است. اما این اطلاع رسانی، اگر صرفاً به برگزاری یک جلسه افتتاحیه محدود شود کافی نیست. باید مطمئن شوید که همه مدیران و کارکنان کلیدی و تاثیرگذار سازمان، از آنچه شما می خواهید انجام دهید، و از تاثیر آن بر آینده کاری خود آگاه شده اند. برخی از مشاوران نسبت به افشای رموز و فوت و فن کاری خود در محیط کارفرما مقاومت می کنند. با چنین روحیه ای مطلقاً نمی توان به جلب مشارکت کارکنان امیدوار بود. همچنین نباید در ارزیابی فاصله علمی و فنی خود با کارشناسان کارفرما اغراق کنید یا آن را به نمایش بگذارید. در جلب مشارکت کارکنان دو موضوع شایسته توجه بیشتری است: نخست نقش کلیدی مدیران میانی، که اغلب در میانه مدیران ارشد و کـــارکنان سطح پایین از آنها غفلت می شود، و دوم اهمیت مکانیسم های جبران مشارکت در پروژه. واقعیت این است که هزینه مشارکت کارکنان در پروژه باید از ابتدا توسط کارفرما برآورد و پیش بینی شده باشد، اما حتی درصورتی که بودجه مشخصی برای این کار درنظر گرفته نشده باشد، مجری موظف است که این هزینه ها را جزء هزینه های انجام پروژه محاسبه کرده و مکانیسم سالمی برای پرداخت آن طراحی کند. ۲ - به ماهیت چرخه ای فرایند برنامه ریزی توجه کنید. برخلاف الگوهای سنتی برنامه ریزی (به عنوان مثال IE)، چــــارچوبهای جدیدتر برنــامه ریزی فناوری اطلاعات بر ماهیت چرخه ای و تکرارشونده برنامه ریزی تاکید دارند. گذشته از آنکه زمان پیش بینی شده برای انجام پروژه چه فرصتی برای تکرار مراحل فــراهم کند، باید توجه داشت که اصرار بر جمع آوری همه اطلاعات لازم یا تکمیل همه اجـــــزای یک مدل در یک مرحله پروژه، گاهی ممکن است اثرات تاخیری بر کل پروژه داشته باشد، درحالی که می توان بسیاری از نواقص مراحل پیشین را در مراحل بعدی جبران کرد. ۳ - زمان لازم برای اظهارنظر کارفرما پیش بینی کنید. ضروری است که زمانهای لازم برای بررسی و صحه گذاری فرآورده های پروژه ها توسط نمایندگان کارفرما، به طور مشخص در برنامه زمانی پروژه پیش بینی شده باشد. برآورد این زمان باید باتوجه به عوامل مختلفی از قبیل فرهنگ و بلوغ سازمانی، سابقه برنامه ریزی در سازمان، سطح تخصص نمایندگان کارفرما، و... صورت گیرد. بویژه باید از این ساده انگاری که فهم و بررسی فراورده ها، به همان سرعتی که توسط ما صورت می گیرد، توسط نمایندگان کارفرما نیز می تواند انجام شود، پرهیز کرد. ۴ - محدوده و اهداف پروژه را از پیش روشن سازید. تا آنجا که می توانید درک مشترکی بین خود و عوامل کارفرما، از دامنه و اهداف پروژه ایجاد کنید. مطمئن شوید که مدیریت و کارکنان درگیر در پروژه، موضوع و هدف پروژه را با مفاهیم مرتبطی مانند سیستم جامع، MIS ، ERP، و... خلط نمی کنند. ۵ - دانش برنامه ریزی فناوری اطلاعات را به محیط کارفرما منتقل کنید. ممکن است این انتقال دانش فنی در کوتاه مدت به زیان شما به نظر برسد. اما مطمئن باشید بدون انتقال فرهنگ و دیدگاه برنامه ریزی فناوری اطلاعات به سازمان، هیچگاه ارزیابی درستی از اهمیت و ارزش کار شما صورت نخواهدگرفت. |